Tres vulnerabilidades de seguridad críticas fueron descubiertas en CocoaPods, el administrador de dependencias utilizado en proyectos de Swift y Objective-C para iOS y macOS. Los investigadores de seguridad de la aplicación israelí E.V.A Information Security señalaron que estas vulnerabilidades podrían ser explotadas para realizar ataques al suministro de software, lo que pone en riesgo a los clientes. Los informes revelan que las fallas podrían permitir a actores malintencionados tomar el control de miles de pods no reclamados e insertar código malicioso en aplicaciones muy populares de iOS y macOS.
En respuesta a estas revelaciones, CocoaPods ha parcheado las tres vulnerabilidades desde octubre de 2023 y ha restablecido todas las sesiones de usuario. Una de las vulnerabilidades, identificada como CVE-2024-38368, permite a un atacante abusar del proceso de «Reclamar tus pods» para tomar el control de un paquete y alterar su código fuente. Los otros problemas son CVE-2024-38366 y CVE-2024-38367, que explotan un flujo de trabajo de verificación de correo electrónico no seguro y la verificación de la dirección de correo electrónico, respectivamente.
La magnitud de estas vulnerabilidades es evidente en las puntuaciones CVSS que van desde 8.2 hasta 10.0. La primera permite la ejecución de código arbitrario en el servidor Trunk, mientras que la segunda incita a los destinatarios a hacer clic en enlaces maliciosos que podrían desencadenar un ataque de toma de control de cuenta de cero clics. Estas vulnerabilidades exponen a los propietarios de pods a riesgos significativos debido a la vulnerabilidad de sus direcciones de correo electrónico registradas en el servidor Trunk.
Estas fallas de seguridad no son el primer problema para CocoaPods. Anteriormente, en marzo de 2023, Checkmarx informó sobre un subdominio abandonado que podría haber sido secuestrado por adversarios para alojar cargas útiles. Estos hallazgos resaltan la importancia crítica de abordar los problemas de seguridad y suministro de software en CocoaPods para garantizar la protección de los usuarios y las aplicaciones.
Vía The Hacker News
